Escaneado de imágenes para vulnerabilidades

Descubra cómo explorar imágenes en un repositorio para detectar vulnerabilidades de seguridad con Container Registry.

No es raro que los paquetes del sistema operativo incluidos en las imágenes tengan vulnerabilidades. La gestión de estas vulnerabilidades le permite reforzar la estrategia de seguridad del sistema y responder rápidamente cuando se detecten nuevas vulnerabilidades.

Puede configurar Oracle Cloud Infrastructure Registry (también conocido como Container Registry) para explorar imágenes en un repositorio en busca de vulnerabilidades de seguridad publicadas en la base de datos de exposiciones y vulnerabilidades comunes (CVE) disponible públicamente.

Para activar la exploración de imágenes, agregue un escáner de imágenes a un repositorio. A partir de entonces, el escáner de imágenes escanea las imágenes transferidas al repositorio en busca de vulnerabilidades. Si el repositorio ya contiene imágenes, las cuatro imágenes transferidas más recientes se exploran inmediatamente para detectar vulnerabilidades.

Cuando se agregan nuevas vulnerabilidades a la base de datos de CVE, Container Registry vuelve a escanear automáticamente imágenes en los repositorios que tienen activada la exploración.

Para cada imagen escaneada, puede ver:

Resumen de cada exploración de la imagen durante los últimos 13 meses, que muestra el número de vulnerabilidades encontradas en cada exploración y un único nivel de riesgo general para cada exploración. Los resultados del escaneo de imágenes se conservan durante 13 meses para permitirle comparar los resultados del escaneo a lo largo del tiempo.
Resultados detallados de cada exploración de imagen, para ver una descripción de cada vulnerabilidad, junto con su nivel de riesgo, y (si está disponible) un enlace a la base de datos de CVE para obtener más información.

Puede desactivar la exploración de imágenes en un repositorio concreto eliminando el escáner de imágenes.

Para realizar la exploración de imágenes, Container Registry utiliza el servicio Oracle Cloud Infrastructure Vulnerability Scanning y la API de REST de Vulnerability Scanning. Para obtener más información sobre el servicio Vulnerability Scanning, consulte Visión general de Scanning y destinos de imágenes de contenedor.

Puede integrar la exploración de imágenes en el ciclo de vida de despliegue y desarrollo de software existente. Una vez creada una imagen, la herramienta de integración y despliegue continuos puede utilizar el comando docker push normal para transferir la imagen a un repositorio de Container Registry que tenga activada la exploración de imágenes. Su herramienta de CI/CD puede obtener los resultados del análisis de imagen mediante la API de REST de Vulnerability Scanning. Basándose en los resultados de la exploración de imágenes, la herramienta de integración y entrega continuas puede determinar si desea mover la imagen a la siguiente etapa del ciclo de vida.

Política de IAM necesaria para la exploración de imágenes para vulnerabilidades

Si activa los repositorios para la exploración de imágenes, debe otorgar al servicio Vulnerability Scanning permiso para extraer imágenes de Container Registry.

Para otorgar este permiso para todas las imágenes de todo el arrendamiento:

allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy

Para otorgar este permiso para todas las imágenes de un compartimento específico:

allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

Uso de la consola para activar y desactivar la exploración de imágenes

Cuando se crea un nuevo repositorio, la exploración de imágenes está desactivada por defecto. Puede utilizar la consola para activar la exploración de imágenes de un repositorio creando un nuevo escáner de imágenes. Si la exploración de imágenes ya está activada, puede utilizar la consola para desactivarla.

Para activar la exploración de imágenes para un repositorio:

En la página de lista Container Registry, seleccione el repositorio con el que desea trabajar. Si necesita ayuda para buscar la página de lista o el repositorio, consulte List Repositories.
Seleccione Agregar escáner en el menú Acciones y acepte la configuración por defecto (normalmente suficiente) o especifique:
- Nombre de destino: opcionalmente, un nombre para el nuevo escáner de imágenes.
- Crear en compartimento: compartimento en el que se va a crear el explorador de imágenes. El compartimento al que pertenece el repositorio está seleccionado por defecto, pero puede seleccionar un compartimento alternativo.
- Description (Descripción): opcionalmente, una descripción del escáner.
Seleccione la configuración de exploración que desea utilizar.

Una configuración de exploración identifica las imágenes que se van a explorar, designando los compartimentos a los que pertenecen las imágenes. Normalmente, seleccionará una configuración de exploración existente o creará una nueva configuración de exploración que designe el compartimento al que pertenece el propio repositorio.
- Crear nueva configuración de exploración: permite explorar imágenes que pertenezcan al compartimento al que pertenece el repositorio mediante la creación de una nueva configuración de exploración. Introduzca un nombre para la nueva configuración de exploración y seleccione el compartimento en el que desea crear la nueva configuración de exploración. Todas las imágenes del repositorio se explorarán.
- Seleccionar configuración de exploración existente: escanee imágenes que pertenezcan a los compartimentos especificados en una configuración de exploración existente. Por defecto, puede ver y seleccionar las configuraciones de exploración que pertenecen al mismo compartimento que el repositorio, pero puede seleccionar las configuraciones de exploración que pertenecen a otros compartimentos. Todas las imágenes del repositorio se explorarán, siempre que el repositorio pertenezca a uno de los compartimentos designados en la configuración de exploración existente que seleccione.
Seleccione Agregar escáner para crear el nuevo escáner de imágenes con la configuración de exploración especificada.

A partir de ahora, el escáner de imágenes analiza las vulnerabilidades de cualquier imagen enviada al repositorio. Si el repositorio ya contiene imágenes, las cuatro imágenes transferidas más recientes se exploran inmediatamente para detectar vulnerabilidades.

Para desactivar la exploración de imágenes para un repositorio:

En la página de lista Container Registry, seleccione el repositorio con el que desea trabajar. Si necesita ayuda para buscar la página de lista o el repositorio, consulte List Repositories.
Seleccione Eliminar escáner en el menú Acciones.

Uso de la consola para ver los resultados de las exploraciones de imágenes

Para ver los resultados de las exploraciones de imágenes:

En la página de lista Container Registry, seleccione el repositorio con el que desea trabajar. Si necesita ayuda para buscar la página de lista o el repositorio, consulte List Repositories.
Para ver las vulnerabilidades detectadas en una imagen concreta del repositorio:
1. En la página de detalles, seleccione el separador Versiones de imagen.
  
  Todas las imágenes del repositorio, incluidos sus identificadores de versión, se muestran en una tabla.
2. Seleccione la imagen.
  
  Se abrirá la página de detalles de la imagen.
Seleccione el separador Resultados de exploración para ver un resumen de cada exploración de la imagen durante los últimos 13 meses, que muestra:
- Nivel de riesgo: nivel de riesgo planteado por la imagen, derivado de la agregación de los niveles de riesgo de vulnerabilidades individuales encontradas en la exploración en un único nivel de riesgo general.
- Problemas encontrados: número de vulnerabilidades encontradas en la exploración.
- Escanear iniciado: y Escanear completado: cuando se ejecutó la exploración.
(Opcional) Para ver más información sobre las vulnerabilidades encontradas en una exploración concreta, seleccione Ver detalles en el menú Acción junto a la exploración en el separador Resultados de exploración para abrir el cuadro de diálogo Detalles de exploración que muestra:
- Problema: nombre proporcionado a la vulnerabilidad en la base de datos de CVE. Seleccione el enlace para obtener más información al respecto.
- Nivel de riesgo: nivel de gravedad de la vulnerabilidad. Crítico es el nivel más alto (para los problemas más graves que debe ser su prioridad más alta para resolver), seguido de Alto, Medio, Bajo y, por último, Menor (lo que indica los problemas menos graves que aún debe resolver, pero que pueden ser su prioridad más baja).
- Descripción: Descripción de la vulnerabilidad.
Seleccione Cerrar.

Uso de la CLI

Utilice los comandos de la CLI de Vulnerability Scanning para analizar imágenes en busca de vulnerabilidades (consulte Destinos de imágenes de contenedor).

Para obtener una lista completa de indicadores y opciones de variables para los comandos de la CLI, consulte la Referencia de la línea de comandos.

Uso de la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Utilice la API de exploración de vulnerabilidades para analizar imágenes en busca de vulnerabilidades (consulte Destinos de imágenes de contenedor).